Thông tin đăng nhập Microsoft Azure được Windows 365 tiếp xúc trong Văn bản rõ ràng

Mimikatz đã được một nhà nghiên cứu lỗ hổng sử dụng để loại bỏ thông tin đăng nhập Microsoft Azure dạng văn bản gốc không được mã hóa của người dùng khỏi dịch vụ Windows 365 Cloud PC mới của Microsoft. Benjamin Delpy đã thiết kế Mimikatz, một phần mềm an ninh mạng nguồn mở cho phép các nhà nghiên cứu kiểm tra các lỗ hổng đánh cắp thông tin xác thực và mạo danh khác nhau.

Dịch vụ máy tính để bàn dựa trên nền tảng đám mây Windows 365 của Microsoft đã đi vào hoạt động vào ngày 2 tháng XNUMX, cho phép khách hàng thuê PC trên nền tảng đám mây và truy cập chúng thông qua máy tính để bàn từ xa hoặc trình duyệt. Microsoft cung cấp các bản dùng thử PC ảo miễn phí, nhanh chóng bán hết khi người tiêu dùng đổ xô nhận Cloud PC miễn phí trong hai tháng. 

Microsoft đã công bố trải nghiệm máy tính ảo dựa trên đám mây Windows 365 mới của họ tại hội nghị Inspire 2021, cho phép các tổ chức triển khai Windows 10 Cloud PC, cũng như Windows 11, trên đám mây. Dịch vụ này được xây dựng trên Azure Virtual Desktop, nhưng nó đã được sửa đổi để giúp việc quản lý và truy cập Cloud PC dễ dàng hơn. 

Delpy nói rằng anh là một trong số ít người may mắn có thể nhận được bản dùng thử miễn phí dịch vụ mới và bắt đầu thử nghiệm tính bảo mật của nó. Anh phát hiện ra rằng dịch vụ hoàn toàn mới này cho phép một chương trình độc hại lấy đi địa chỉ email và mật khẩu văn bản gốc Microsoft Azure của khách hàng đã đăng nhập. Việc kết xuất thông tin xác thực được thực hiện bằng cách sử dụng một lỗ hổng mà anh đã xác định vào tháng 2021 năm XNUMX. Lỗ hổng này cho phép anh kết xuất thông tin xác thực văn bản gốc cho người dùng Terminal Server. Mặc dù thông tin đăng nhập Máy chủ đầu cuối của người dùng được mã hóa khi được lưu trong bộ nhớ, nhưng Delpy tuyên bố rằng anh có thể giải mã chúng bằng quy trình Dịch vụ đầu cuối. 

Để kiểm tra kỹ thuật này, BleepingComputer đã sử dụng bản dùng thử Cloud PC miễn phí trên Windows 365. Họ nhập lệnh “ts::logonpasswords” sau khi kết nối qua trình duyệt web và khởi động mimikatz với các đặc quyền quản trị, đồng thời mimikatz nhanh chóng chuyển thông tin đăng nhập của họ sang dạng văn bản thuần túy. 

Mặc dù mimikatz được thiết kế dành cho các nhà nghiên cứu nhưng các tác nhân đe dọa thường sử dụng nó để trích xuất mật khẩu văn bản gốc từ bộ nhớ của quy trình LSASS hoặc thực hiện các cuộc tấn công pass-the-hash bằng cách sử dụng hàm băm NTLM do sức mạnh của các mô-đun khác nhau của nó. Các tác nhân đe dọa có thể sử dụng kỹ thuật này để lây lan ngang qua mạng cho đến khi chúng giành được quyền kiểm soát bộ điều khiển miền Windows, cho phép chúng kiểm soát toàn bộ miền Windows.

Để bảo vệ khỏi phương pháp này, Delpy khuyến nghị sử dụng 2FA, thẻ thông minh, Windows Hello và Windows Defender Remote Credential Guard. Tuy nhiên, các biện pháp bảo mật này vẫn chưa thể truy cập được trong Windows 365. Vì Windows 365 hướng tới các doanh nghiệp nên Microsoft có thể sẽ đưa các biện pháp bảo mật này vào trong tương lai, nhưng hiện tại, điều quan trọng là phải biết về kỹ thuật này.